Preguntas con etiqueta 'web-application'

preguntas con etiqueta
1
respuesta

Explotación de LFI usando datos: // [cerrado]

Encontré LFI en mi sitio web y traté de explotarlo, pero cuando uso php: // input or data: // no funciona, no puedo obtener el shell. Ejemplo: .index.php?lang=data:;base64,PD9zeXN0ZW0oJF9HRVRbJ3gnXSk7Pz4=&x=ls -l He encontrado...
hecha 26.09.2015 - 00:44
2
respuestas

SQLi: ¿Extraer datos de MySQL sin saber los nombres de las columnas?

Aquí está el código vulnerable: <?php $filtered = "/information|schema|_/i"; #... blahblah $query = "SELECT * FROM user WHERE id='$id' AND pw='$pw';"; // exist hidden column $query = @mysql_fetch_array(mysql_query($query)...
hecha 18.11.2015 - 11:29
1
respuesta

Escape from script para causar un XSS (XSS cuando la reflexión ya está en script) [duplicado]

Estoy haciendo mi mejor esfuerzo para resolver este problema, no puedo crear un XSS. Aún creo que es una vulnerabilidad y creo que es explotable. Estoy frustrado por eso durante 8 días. Ayúdeme a resolver este problema y no lo marque como du...
hecha 24.09.2014 - 02:34
3
respuestas

Hashing credenciales. ¿Es suficientemente seguro el hash (correo electrónico + contraseña)?

Estoy trabajando en una aplicación de servidor cliente donde identificar a cada usuario que estaba pensando en almacenar una sola entrada de base de datos: hash(email + password) En mi opinión, esto es suficiente para detener algunos ataque...
hecha 27.04.2014 - 13:18
2
respuestas

Explotación de base de unión de inyección SQL [cerrado]

Un sitio web de PHP termina con php?id=1 y cuando coloco un tic imprime este error:    Advertencia: mysql_fetch_array (): el argumento proporcionado no es un recurso de resultado MySQL válido en /home/otmsm/public_html/bonnes_adresses....
hecha 13.07.2015 - 01:20
1
respuesta

ESAPI: Validación de entrada y salida [cerrado]

Soy nuevo en Seguridad de TI y se me ha encomendado la tarea de crear una validación de entrada y salida para ESAPI. Así que para la validación de entrada, hasta ahora tengo: Data Type Name Email Password Add...
hecha 31.07.2013 - 20:12
1
respuesta

Identificando Visitantes usando Proxy [duplicado]

¿Quiero detectar a los visitantes de mi sitio web utilizando proxies duplicados? Si es así, ¿cómo evitarlos? ¿También cómo identificar el proxy es un proxy HTTP o un proxy SOCKS?     
hecha 18.09.2013 - 04:38
3
respuestas

¿Qué información puede contener un código fuente? [cerrado]

¿El código fuente de una aplicación puede contener el nombre de usuario y / o la contraseña? En caso afirmativo, ¿cómo podemos determinarlo? ¿También qué otra información puede contener?     
hecha 21.01.2017 - 10:17
2
respuestas

¿Cómo configurar un blog anónimo? [cerrado]

Tengo la intención de crear un blog completamente anónimo. Mi amenaza no es el gobierno, sino los piratas informáticos que pueden estar en desacuerdo con el contenido de mis blogs. También quiero eventualmente poder monetizar este blog. ¿Puede a...
hecha 25.09.2017 - 05:03
1
respuesta

Nessus no detecta la inyección de sql con "Pruebas de aplicaciones web" [cerrado]

En mi sitio web tengo una vulnerabilidad de inyección de SQL. Pero cuando escaneo mi sitio web con Nessus en "Pruebas de aplicaciones web" no hay resultados en la inyección de SQL. ¿Por qué es esto? ¿Qué debo hacer para que esto funcione?...
hecha 19.12.2012 - 10:50